Фото: pixabay.com
Депутат мажилиса парламента РК Екатерина Смышляева не раз поднимала вопрос защиты биометрических персональных данных казахстанцев. Она отмечает отсутствие строгих стандартов по хранению и защите таких данных, как изображение лица, отпечатки пальцев и радужка глаза. Депутат отметила, что утечка этих данных может привести к непоправимому ущербу для цифровой личности человека, так как такие данные нельзя изменить, как, например, пин-код или номер паспорта.
«Во-первых, биометрические данные, такие как отпечатки пальцев, радужка глаза, форма лица или голос, уникальны и неизменны для каждого человека. В отличие от паролей или пин-кодов, которые можно легко изменить в случае компрометации, биометрические данные изменить невозможно. Если биометрические данные утекли, их уже невозможно заменить, и злоумышленники могут использовать их для несанкционированного доступа на протяжении всей жизни человека. Во-вторых, сегодня мы видим, как растёт полулярность биометрии. Биометрия используется для множества целей – от доступа к смартфонам и компьютерам до банковских счетов и государственных систем идентификации. Потеря контроля над биометрическими данными может привести к злоупотреблению ими в различных сферах. Биометрические данные тесно связаны с физиологическими и поведенческими характеристиками человека, и их утечка может привести к вторжению в частную жизнь. Например, данные о лице могут использоваться для отслеживания передвижений человека, его действий или привычек», – говорит Екатерина Смышляева.
При утечке биометрии, продолжает мажилисвумен, происходит кража цифровой личности. То есть биометрические данные могут использоваться для подделки личности, которая может начать жить своей самостоятельной жизнью в информационных системах. При этом жертве может быть сложно доказать свою невиновность.
«Поскольку биометрия используется не только для доступа к личным устройствам, но и для проверки безопасности в государственных и частных системах, утечка может привести к компрометации государственных баз данных или систем, где биометрия является ключевым элементом защиты. Это приведёт к сбоям в защите целых отраслей. Таким образом, утечка биометрических данных несёт в себе значительно больше рисков, чем утечка паролей», – говорит депутат.
По словам депутата, в Казахстане сбор биометрических данных часто проводится с нарушением закона, например, отсутствует добровольное согласие граждан. Она призывает обезопасить процесс сбора и хранения биометрических данных, называя это критически важной задачей. Защита таких данных требует особых подходов, поскольку, например, не исключены случаи, когда злоумышленники могут принудить человека предоставить свои биометрические данные для доступа к системе.
«Стандарты безопасности для хранения и обработки биометрических данных до сих пор развиваются, и не всегда они строго соблюдаются в разных регионах и организациях. Отсутствие единых стандартов приводит к разным уровням защиты в разных системах», – уверена мажилисвумен.
Она предложила разработать государственную систему биометрической идентификации и пересмотреть регламенты по использованию и защите таких данных.
«Государственная система идентификации нужна, прежде всего, для обслуживания государственных сервисов, а также для тех случаев, когда биометрическая идентификация является обязательной на уровне закона. Фактически эталонные базы биометрической информации (лица и отпечатки пальцев) уже сейчас находятся в руках и под защитой государства. Осталось подготовить саму систему идентификации, администрировать которую будет государство. При этом к самому написанию можно и нужно привлекать рынок», – говорит Екатерина Смышляева.
Она отмечает, что поскольку биометрия является одним из наиболее точных вариантов аутентификации личности и спрос на эту технологию растёт, то в случае утечки под угрозой могут оказаться и биометрические данные детей (их сбор осуществляется, например, при установке блокировки смартфона).
«Я считаю, что биометрическая аутентификация детей должна быть только в государственной системе идентификации. Дети очень чувствительная категория граждан, их благополучие зависит от взрослых. И согласие на обработку их данных тоже дают взрослые. Сделать детей бесправными участниками каких-то цифровых экспериментов, а иногда это выглядит именно так, неправильно. Кроме того, сами жизненные ситуации, в которых использование детской биометрии действительно остро необходимо, крайне редки. И для таких случаев должны быть гарантии. Сам себя ребёнок не защитит, родители бывают с разным уровнем ответственности, поэтому государство в данном случае не должно самоустраняться. Защита ребёнка – это государственная задача, в том числе защита его цифровой личности», – уверена депутат.
По словам руководителя ОЦИБ PS CLOUD SERVICES Александра Пушкина, важно на государственном уровне определить всех участников процесса сбора, хранения и использования биометрических данных.
«Мы должны стратегически подойти к этому вопросу и определить на уровне государства: кто будет эти данные хранить, кто их будет защищать, кто будет оператором этих данных. То есть, например, эти данные могут храниться государством, но оператором этих данных будет в том числе частный бизнес, например, финансовые организации, банки, медицинские учреждения. А пользователи базы биометрических данных – это обычные граждане. Как минимум три стороны должны участвовать в этом процессе. И здесь очень важно определить зону ответственности: кто будет отвечать за все процессы хранения, обработки и передачи этих данных. И что ещё важно: чтобы не было колизий с другими законами, потому что часть законов создавалась и внедрялась ещё в те времена, когда не было в обиходе биометрических данных, и один закон может противоречить другому», – говорит эксперт.
По словам эксперта по кибербезопасности Евгения Питолина, хакеры могут взломать базы биометрических данных как государственных, так и частных компаний. Поэтому биометрические данные должны выступать как дополнительный, но не единственный способ войти в систему и получить нужные данные.
«В последние годы мы видели, как в некоторых странах утекала полная база биометрических данных граждан. Критичность очень сильна. Но у нас банки и государство поступают достаточно разумно, используя биометрические данные как второй фактор. Во-вторых они не используют биометрию как единственно возможный и дающий все права фактор, и это хорошо. Но наивно полагать, что какой-то сектор справляется с защитой лучше, потому что биометрические данные, это такие же данные, как и все остальные, вопрос только в ответственности и критичности утечек», – уверен эксперт.
Для защиты биометрических данных от мошенников эксперты советуют ограничить использование биометрических методов аутентификации только теми сервисами, которым вы действительно доверяете.